Kết luận: W3af là một công cụ mạnh để quét các lỗ hổng bảo mật, không cần
chứng thực sở hữu đối với website cần quét và cũng không cần sử dụng thơng qua một proxy nào. Nó là một framework để phát triển các ứng dụng, bao gồm nhiều hàm để qt và dị tìm lỗ hổng bảo mật. Các lỗ hổng bảo mật thì thƣờng xuyên đƣợc phát hiện và bổ sung, với việc đƣợc cập nhật thƣờng xuyên các lỗ hổng bảo mật mới, w3af thực sự là cơng cụ tốt để đánh giá an tồn website.
CHƢƠNG III: CƠ SỞ LÝ THUYẾT
Luận văn đƣợc thực hiện nhằm tìm hiểu về các kỹ thuật tấn cơng trang web và đề ra cách phịng chống. Do đó, trong phần đầu của lý thuyết sẽ giới thiệu sơ lƣợc một số khái niệm cơ bản và đây chính là nền tảng để xây dựng nội dung cho những phần sau.
1. GIỚI THIỆU VỀ ỨNG DỤNG WEB 1.1. Khái niệm ứng dụng web 1.1. Khái niệm ứng dụng web
Ứng dụng web là một ứng dụng chủ/khách sử dụng giao thức HTTP để tƣơng tác với ngƣời dùng hay hệ thống khác.
Trình khách dành cho ngƣời sử dụng thƣờng là một trình duyệt web nhƣ: Internet Explorer hay FireFox. Cũng có thể là một chƣơng trình có chức năng nhƣ một trình duyệt web. Ngƣời dùng gửi và nhận các thông tin từ máy chủ thông qua việc tƣơng tác với trang web. Các chƣơng trình này có thể là các trang trao đổ mua bán, các diễn đàn, các trang gửi nhận email, …
Tốc độ phát triển các kỹ thuật xây dựng ứng dụng web cũng phát triển rất nhanh. Trƣớc đây những ứng dụng web thƣờng đƣợc xây dựng bằng CGI (Common Getaway Interface) đƣợc chạy trên các máy chủ web và kết nối với với các cơ sở dữ liệu đơn giản trên cùng một máy chủ. Ngày nay ứng dụng web thƣờng đƣợc viết bằng PHP, ASP.Net (hay các ngôn ngữ tƣơng tự) và chạy trên máy chủ phân tán, kết nối đến nhiều nguồn dữ liệu.